安徽
卡巴斯基發(fā)布了關(guān)于Evasive Panda威脅組織發(fā)起的一場復(fù)雜網(wǎng)絡(luò)間諜活動的最新調(diào)查結(jié)果。攻擊者通過將惡意軟件注入合法的系統(tǒng)進程中來執(zhí)行代碼,并在受害系統(tǒng)中保持隱蔽。該攻擊行動從2022年11月持續(xù)活躍到2024年11月,已侵入土耳其、中國和印度的多個系統(tǒng),部分感染甚至持續(xù)了一年以上。這一發(fā)現(xiàn)揭示了該組織不斷演變的攻擊手法及其對目標網(wǎng)絡(luò)實施長期滲透的策略。
此次攻擊采用了一種欺詐性誘餌,將惡意軟件偽裝成流行并合法的Windows應(yīng)用程序的軟件更新,涉及搜狐影音、愛奇藝視頻、IObit Smart Defrag 和騰訊 QQ。這些假冒的更新程序旨在與受信任的軟件完美融合,使攻擊者能夠啟動惡意活動而不被立即察覺。攻擊者還使用了 DNS投毒技術(shù),從其服務(wù)器分發(fā)惡意軟件組件,使其看起來像是存儲在某個知名的合法網(wǎng)站上。
這些攻擊的核心是擁有十年歷史的 MgBot 植入程序。這是Evasive Panda至少自 2012 年以來一直用于網(wǎng)絡(luò)間諜活動的模塊化惡意軟件框架,其功能插件涵蓋了鍵盤記錄、文件竊取和命令執(zhí)行等任務(wù)。在2022至2024年的攻擊中,MgBot更新了包括多個命令與控制(C2)服務(wù)器在內(nèi)的新配置,以確保入侵的冗余性并維持長期訪問權(quán)限。
“這次的攻擊活動充分體現(xiàn)了攻擊者在規(guī)避防御方面的努力,同時他們還重新利用了如 MgBot 這樣已被驗證有效的工具。在這場長達兩年的攻擊活動中,他們展示了一種資源密集且持久化的攻擊方式,利用用戶對日常應(yīng)用程序的信任,在關(guān)鍵系統(tǒng)中維持立足點。值得注意的是,他們采用了自適應(yīng)的部署策略,在服務(wù)器端根據(jù)特定的操作系統(tǒng)環(huán)境定制植入物,從而實現(xiàn)了高度針對性的間諜活動。組織需要采取積極主動的、情報驅(qū)動的安全措施來對抗這種持久的攻擊活動,”卡巴斯基安全專家Fatih Sensoy評論說。
卡巴斯基大中華區(qū)總經(jīng)理鄭啟良表示:“Evasive Panda發(fā)起的此次攻擊活動,彰顯了他們不遺余力地追求隱蔽性和長期滲透的行徑。他們采用自適應(yīng)策略,利用受信任的應(yīng)用程序并不斷改進MgBot,構(gòu)成了重大威脅。組織和個人用戶必須采取積極主動、以情報為主導(dǎo)的安全措施,以應(yīng)對如此頑固的對手。”
更多詳情請參閱Securelist。
卡巴斯基呼吁各組織和個人用戶對此類及類似的威脅保持高度警惕。根據(jù)調(diào)查結(jié)果,卡巴斯基給出以下安全建議:
·組織應(yīng)強制對軟件更新實施多因素認證,并使用端點檢測工具仔細檢查更新包是否存在異常,例如非預(yù)期的文件存放路徑,或與已知惡意模板相似的代碼特征。
·組織應(yīng)加強對中間人(AitM)攻擊指標的網(wǎng)絡(luò)監(jiān)控:定期審計DNS響應(yīng)和網(wǎng)絡(luò)流量,檢查是否存在投毒或攔截跡象。
·組織還應(yīng)針對用戶進行培訓(xùn),使其能夠識別偽裝成信任廠商更新程序的釣魚誘餌。
·個人用戶應(yīng)通過可靠防護解決方案主動進行惡意軟件掃描。
關(guān)于全球研究與分析團隊
全球研究與分析團隊(GReAT)成立于 2008 年,是卡巴斯基的核心部門,負責(zé)揭露 APT、網(wǎng)絡(luò)間諜活動、重大惡意軟件、勒索軟件和全球地下網(wǎng)絡(luò)犯罪趨勢。目前,GReAT 由 40 多名專家組成,他們在歐洲、俄羅斯、美洲、亞洲和中東等全球范圍內(nèi)工作。這些才華橫溢的安全專業(yè)人員為公司的反惡意軟件研究和創(chuàng)新發(fā)揮著領(lǐng)導(dǎo)作用,他們以無與倫比的專業(yè)知識、熱情和好奇心致力于發(fā)現(xiàn)和分析網(wǎng)絡(luò)威脅。
關(guān)于卡巴斯基
卡巴斯基是一家成立于1997年的全球網(wǎng)絡(luò)安全和數(shù)字隱私公司。迄今為止,卡巴斯基已保護超過十億臺設(shè)備免受新興網(wǎng)絡(luò)威脅和針對性攻擊。卡巴斯基不斷將深度威脅情報和安全技術(shù)轉(zhuǎn)化成創(chuàng)新的安全解決方案和服務(wù),為全球的個人用戶、企業(yè)、關(guān)鍵基礎(chǔ)設(shè)施和政府提供安全保護。該公司全面的安全產(chǎn)品組合包括領(lǐng)先的個人設(shè)備數(shù)字生活保護、面向企業(yè)的專業(yè)安全產(chǎn)品和服務(wù),以及用于對抗復(fù)雜且不斷演變的數(shù)字威脅的網(wǎng)絡(luò)免疫解決方案。我們?yōu)閿?shù)百萬個人用戶及近20萬企業(yè)客戶守護他們最珍視的數(shù)字資產(chǎn)。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
